Webサイトから平文パスワードを窃取できるChrome拡張機能を研究者が作成
ウィスコンシン大学マディソン校の研究者らが、Webサイトのソースコードから平文のパスワードを窃取することのできる拡張機能を作成し、これをChrome ウェブストアにアップロードすることに成功。この拡張機能は、Webブラウザのテキスト入力フィールドを検証した結果発見されたセキュリティ上の問題点や脆弱性が及ぼし得る影響を実証するためのPoCとして作成されたという。
Webブラウザのパーミッションモデルが2つのセキュア設計の原則に違反
研究者らは、Webブラウザ拡張機能とWebページとの間のやり取りを、特にテキストの入力フィールドを中心に分析。これは、入力フィールドにはユーザー名やパスワード、カード番号、社会保障番号といった機微な情報が入力されることが多々あるためだという。すると、分析の結果、ブラウザのパーミッションモデルが粗野なものであり、「最小権限の原則」と「完全な仲介」の原則に違反していることが判明。これにより、悪意ある拡張機能によってユーザーに知られることなくユーザーの機微な情報へアクセスすることが可能な状態になっているという。
DOMに関連する2つの脆弱性
研究者らは上記の問題がユーザーに与え得る具体的な影響を実証する上で、入力フィールドにおける脆弱性を2件特定。Webサイトに何らかの拡張機能がロードされると、その拡張機能はDOMツリーに組み込まれ、DOM APIを通じてあらゆるDOMの要素に無制限にアクセスできるようになるが、この仕様に起因して、以下2タイプの脆弱性が生じているという。
・タイプA:HTMLソースコードの平文テキストでパスワード値が閲覧可能となっている。
・タイプB:パスワード値は隠されているものの、JavaScript経由でアクセス可能となっている。
これらの脆弱性を攻撃者がどのように悪用し得るか、またどのようにユーザー情報へのアクセスが実現し得るかを検証すべく、PoCとなる拡張機能が作成されることになった。
gmail.comやcloudflare.comなどの人気サイト含む多数のサイトが脆弱
研究者らは、Tranco社が「トップサイト」としてリストアップしている1万件のWebサイトを調査し、8,410件のログインページを特定。そのうちパスワードフィールドを含む7,140件のログインページに固有のユーザー名・パスワードを自動入力してPoC拡張機能を使ったところ、入力された情報を抜き取ることができたという。またこの調査により、タイプAの脆弱性を含有するWebサイトは1,100、タイプBに脆弱なサイトは7,400あることも分かった。そしてタイプAに脆弱なサイトには、gmail.comやcloudflare.comといった超人気サイトも含まれているとされる。
PoC拡張機能はChrome ウェブストアの審査を通過
研究者らは最終的に、Webストアの審査プロセスを検証するため、このPoC拡張機能をChrome ウェブストアへ提出。すると、PoCは悪意ある側面を隠すためにChatGPTのような機能を提供する無害な拡張機能に見せかけてあったため、ストアの審査を通過することができた。このことから、Webストアにはブラウザ拡張機能に関するより強固な検証システムが必要であるという事実が浮き彫りになったという。なお、研究者らはこの拡張機能が悪用されないようにするための措置を講じた上で上記のようなテストを行っている。
このほか、ウィスコンシン大学マディソン校のレポートには脆弱性の詳細や詳しい検証手法などが記載されている。
(情報源:BleepingComputers “Chrome extensions can steal plaintext passwords from websites”、University of Wisconsin – Madison “Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields”)
9月2~4日:その他の注目ニュース
VMware AriaにおけるSSH認証バイパスの重大な脆弱性に対するPoCエクスプロイトが公開される(CVE-2023-34039)
The Hacker News – Sep 03, 2023
VMware Aria Operations for Networks(旧 vRealize Network Insight)に影響する重大な脆弱性(CVE-2023-34039、CVSSスコア9.8)に対するPoCエクスプロイトコードが公開された。同脆弱性は、固有の暗号鍵が生成されないことにより、認証のバイパスが可能となるもの。
PoCを公開したSummoning TeamのSina Kheirkhah氏によると、脆弱性CVE-2023-34039の根本的な原因は、refresh_ssh_keys()というメソッドを含むbashスクリプトにあるという。このメソッドはauthorized_keysファイル内のsupportユーザーとubuntuユーザーの現在のSSHキーを上書きする役割を担っていて、SSH認証は行われているものの、鍵の再生成が行われないという。このことにより、攻撃者はSSH認証をバイパスしてAria Operations for NetworksのCLIにアクセスできる。また、同製品のバージョン6.0から6.10までのキーがハードコードされていることも分かっている。
CVE-2023-34039に対するパッチは、Aria Operations for Networksに影響する別の脆弱性CVE-2023-20890(任意ファイル書き込みの脆弱性)に対するパッチとともにすでにリリースされているが、脅威アクターは同PoCを活用してデバイスへの管理者アクセス権を取得し、CVE-2023-20890をも悪用して任意のペイロードを実行する可能性があるという。このため、ユーザーにとってはパッチを適用することが極めて重要であるとのこと。